Digialan onnistumiset nostavat kyberturvallisuuden kehitystarvetta

Tietoliikenteen ja ICT-järjestelmien varautumiskyky poikkeamiin on avainasemassa, kun pohditaan yhteiskunnan jatkuvuudenhallintaa huoltovarmuusnäkökulmasta. Kuluneen vuoden aikana se on osoittautunut keskeiseksi kahdella tapaa – tosielämän poikkeustilanteessa ja kriittisten toimialojen kyberturvallisuuden kypsyystarkastelussa. Onnistumiset kasvattavat luottamusta digitaalisiin ratkaisuihin, mikä entisestään lisää tarvetta niiden suojaamiseen.

Koronan alku oli varautumisen tositilanne

Koronatilanteen aiheuttama digiloikka osoitti digialan hyvän varautumisen muutoksiin ja häiriöihin. Useaan tilanteeseen soveltuvat varautumistoimet ovat vähintään vuosikymmenen viranomais- ja yrityskentän työstämien toimien yhteistulos. Yksinkertaistetusti esimerkiksi palvelunestohyökkäyksen tai laiterikon aiheuttaman kuormituksen varautumistoimet mahdollistivat datakäytön kasvupiikit loikan alkaessa. Onnistuneeksi valmiudeksi kriisin aikana voi laskea myös sen, että pahimmat yrityskohtaiset pullonkaulat turvallisten etäyhteyksien (VPN-yhteys) riittävyydessä ratkottiin muutamissa viikoissa.

Pandemiakeskustelussa varjoon on jäänyt tosiasia, että hyvän varautumisen avulla digiala tuki yhteiskuntaa poikkeusolojen aikaan: sosiaalinen tarve yhteydenpidolle jatkui verkon yli, talouden pyöriminen mahdollistui etäyhteyksien ja verkkokaupan turvin. Kaiken päälle ilmastokin kiittää, kun etäkokoustamiseen liittyvät viimeiset jääräpäiset ennakkoluulot karisivat digialan tarjoamana vaihtoehtona työmatkustamiselle. Luottamus digialaan kasvoi, mikä akuutin siirtymän jälkeen näkyy alan ratkaisujen kysynnän kasvuna.

Kyberin kypsyysarvio osoittaa keskeisen aseman

Digipoolin ”Kyberturvallisuus eri toimialoilla” -selvityksen tulokset julkaistiin lokakuussa 2020. Tulokset osoittivat digialan panostaneen oikeanlaisesti kyberturvallisuuteen. Tietoliikenneala oli toisena heti finanssialan jälkeen ja ICT-/ohjelmistoala seurasi kolmantena 12 toimialan läpikäynnissä keskiarvoltaan lähes 4 tuloksilla (asteikko 1-5). Keskeisiksi onnistumisiksi kyberturvallisuudessa aloilta nousi häiriöiden hallinta poikkeamien havaitsemisesta niiden käsittelyyn. Tärkeimmiksi kehityskohteiksi aloilta nousi kaikkia toimialoja läpileikkaavat kehitystarpeet: yrityksen kyberstrategian kautta riippuvuusriskien hallinta, kyberturvallisuusarkkitehtuuri, turvallinen ohjelmistokehitys ja yhteinen tilannekuva.

Selvityksen yksi merkittävin esiin nosto on toimialojen välisten riippuvuusketjujen tunnistaminen konkreettisesti. Yhteiskunnallisesti keskeisen nelikon muodostavat finanssi-, tele-, ICT-/ohjelmisto- ja energia-ala, joiden digitaalisten järjestelmien toimivuudesta muut toimialat ovat riippuvaisia. Nelikon myötä digialan kyberturvallisuuden merkitys nousee entistä korkeammalle, sillä oman toiminnan turvaamisen vaikutukset ulottuvat kaikille muille toimialoille.

Kyberturvallisuus vaatii kasvavaa huomiota

Onnistunut digiloikka testasi ennen kaikkea digitaalisten järjestelmien ja -yhteyksien toimivuutta, ei turvallisuutta. Kyberselvitys osoitti digialan keskeisen merkityksen muille toimialoille riippuvuusketjussa. Digialan merkitys on entisestään noussut loikan myötä, kun useat kriittiset toiminnot ovat etätyön mahdollistavien muutosten jälkeen entistä vahvemmin riippuvaisempia tietoliikenteestä ja ICT-järjestelmistä. Kehityssuuntaus jatkunee. Selvityksen haastattelut toteutettiin syksyllä 2019 ja maaliskuussa 2020 toteutui digiloikka.

Digialan onnistumiset myötävaikuttavat siihen, että yhä merkittävimpiä toimitusketjuja rakentuu verkkojen ja IT-järjestelmien varaan. Kuitenkin koronasta seuraavat kyberuhkat ovat kokonaisuudessa vasta tulossa, kun rikolliset oppivat hyödyntämään muuttunutta tilannetta haitallisiin tarkoituksiin. Tästä seuraa, että samanaikaisesti merkityksen kasvaessa ja uhkien lisääntyessä on digialan kyberturvallisuuden kehityttävä kiihtyvässä tahdissa takapakkien välttämiseksi.

Huoltovarmuuskeskuksessa valmistellaan ”Digitaalinen Turvallisuus 2030” – ohjelmaa, johon valikoidaan kriittisen infrastruktuurin kyberturvallisuutta edistäviä projekteja. Sekä koronatilanne että Digipoolin kyberselvitys huomioidaan ohjelman sisällössä. Työ on projektikohtaisesti aloitettu, mutta kokonaisuus kaipaa vuosien ajan kaikkien alan tekijöiden panosta yhteisiä tavoitteita kohti. Ennakoivat toimet ja yhteistyö ovat suomalaisen kyberturvallisuuden kulmakivi tulevaisuudessakin.

Teksti:
Jarna Hartikainen, varautumispäällikkö, kyberturvallisuus
Huoltovarmuuskeskus